青青青久草,四虎永久在线精品,二区免费视频,一级毛片在线直接观看,黄网在线免费观看,美女露全身永久免费网站,色婷婷六月桃花综合影院

導(dǎo)讀：互聯(lián)網(wǎng)資金在多個(gè)環(huán)節(jié)都面臨風(fēng)險(xiǎn)，一場(chǎng)手機(jī)丟失后的資金攻防戰(zhàn)備受關(guān)注。

來(lái) 源丨21世紀(jì)經(jīng)濟(jì)報(bào)道（ID：jjbd21 記者：謝水旺、張雅婷）、信息安全老駱駝

近日，一篇一個(gè)月前的舊文——《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》，突然在朋友圈重新出現(xiàn)且刷屏。到底怎么回事？

一部手機(jī)丟失后有多可怕？多平臺(tái)中招，支付寶緊急回應(yīng)

“當(dāng)時(shí)不知道我怎么想的，覺(jué)得可能還有機(jī)會(huì)能找回，沒(méi)有未立即掛失手機(jī)卡，設(shè)置了華為找回手機(jī)的上線通知（這個(gè)不果斷的決定，導(dǎo)致了后續(xù)悲劇的發(fā)生）?！痹撐淖髡摺袄像橊劇痹谖闹蟹Q，9月4日，手機(jī)被偷了，用其他手機(jī)撥打，但對(duì)方接通后關(guān)機(jī)。

該文作者“老駱駝”自稱信息安全專家，自述因手機(jī)失竊、SIM卡掛失失敗遭遇手機(jī)黑產(chǎn)，在支付寶、美團(tuán)、京東、財(cái)付通、蘇寧金融、百度等多個(gè)平臺(tái)被偽冒開(kāi)戶的經(jīng)歷。據(jù)分析，該案件中，由于該用戶沒(méi)有及時(shí)掛失SIM卡，犯罪分子在偷盜手機(jī)后，將手機(jī)中的SIM卡取出來(lái)后專門用于接收各類平臺(tái)發(fā)送的短信驗(yàn)證碼。此外，犯罪分子通過(guò)其他平臺(tái)非法盜取用戶信息，并在多個(gè)平臺(tái)上偽冒開(kāi)戶實(shí)施盜刷。

其實(shí)早在當(dāng)時(shí)，支付寶相關(guān)部門人士已經(jīng)回應(yīng)稱，黑產(chǎn)沒(méi)有在支付寶里套到任何錢和信息，也并未突破人臉驗(yàn)證。

9月11日，“老駱駝”再次發(fā)文《盜竊手機(jī)盜刷銀行卡黑色產(chǎn)業(yè)鏈案件之后續(xù)進(jìn)展》。

在該文中，他說(shuō)：“在今天下午，事件中涉及的幾家支付公司都積極聯(lián)系到我，美團(tuán)的貸款記錄消除了，蘇寧金融把我們損失的幾千都賠付了。由于美團(tuán)貸款的記錄消除，實(shí)際上還導(dǎo)致蘇寧金融賠付金融比他造成的損失多了300元，已經(jīng)聯(lián)系蘇寧金融進(jìn)行退款。銀聯(lián)云閃付的賠付也已打電話通知取消。對(duì)于賠付金額，該還我們的一分都不能少，但多的我們也一分不多要?！?/p>

注意兩大關(guān)鍵點(diǎn)

關(guān)鍵1：四川電信稱1天僅能解除掛失一次

回溯“老駱駝”與黑產(chǎn)分子斗爭(zhēng)的整個(gè)流程，不難看出互聯(lián)網(wǎng)資金在多個(gè)環(huán)節(jié)都面臨風(fēng)險(xiǎn)。

第一步，黑產(chǎn)分子如何獲得了失主的關(guān)鍵信息？

“老駱駝”指出四川電信的遠(yuǎn)程掛失和解掛的業(yè)務(wù)流程設(shè)存在問(wèn)題，導(dǎo)致黑產(chǎn)分子通過(guò)某政務(wù)APP的短信驗(yàn)證功能獲得了失主的姓名、手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào)。#p#分頁(yè)標(biāo)題#e#

原來(lái)，“老駱駝”通過(guò)四川電信客服掛失手機(jī)號(hào)后，對(duì)方通過(guò)聯(lián)系電信客服進(jìn)行了“解除掛失”的操作。

一旦手機(jī)號(hào)被解除掛失，這意味著，使用各大APP時(shí)所需的身份認(rèn)證環(huán)節(jié)，極有可能被對(duì)方利用短信驗(yàn)證碼服務(wù)通過(guò)驗(yàn)證。

因此，“老駱駝”與黑產(chǎn)分子就手機(jī)號(hào)的掛失與解掛斗爭(zhēng)了整晚，“來(lái)來(lái)回回幾十次?！彼拇娦攀潞笾虑浮袄像橊劇狈Q，被黑產(chǎn)以“男女朋友鬧矛盾”哄騙，導(dǎo)致反復(fù)掛失與解掛。

記者10月10日從四川電信客服處了解到，如需解除掛失，可以聯(lián)系客服提供登錄電信網(wǎng)上營(yíng)業(yè)廳的密碼或者機(jī)主姓名和身份證號(hào)碼+上月?lián)艽虻娜齻€(gè)通話號(hào)碼進(jìn)行操作。

不過(guò)，上述客服表示，目前掛失業(yè)務(wù)辦理后，針對(duì)線上渠道，解除掛失業(yè)務(wù)24小時(shí)內(nèi)僅能辦理一次，有特殊情況需要本人持有效證件到營(yíng)業(yè)廳解除掛失。

關(guān)鍵2：黑產(chǎn)分子是否繞過(guò)了人臉識(shí)別？

獲得個(gè)人信息后，黑產(chǎn)分子如何進(jìn)行的貸款申請(qǐng)？

“老駱駝”發(fā)現(xiàn)，對(duì)方利用手機(jī)號(hào)及身份信息等注冊(cè)了支付寶等軟件的新賬號(hào)，在蘇寧金融、美團(tuán)等平臺(tái)進(jìn)行貸款申請(qǐng)、資金轉(zhuǎn)移，ETC信用卡產(chǎn)生各類買卡、充值等消費(fèi)記錄。

針對(duì)“老駱駝”質(zhì)疑支付寶快捷綁卡的安全性，支付寶方面回應(yīng)稱，黑產(chǎn)分子沒(méi)有通過(guò)快速綁卡獲得銀行卡號(hào)，而是通過(guò)輸入用戶的銀行卡卡號(hào)+預(yù)留手機(jī)的短信驗(yàn)證碼綁卡的，卡號(hào)則是對(duì)方通過(guò)其他渠道獲得。

在支付寶內(nèi)是否可以查詢到完整的銀行卡號(hào)？記者從支付寶客服處獲悉，可點(diǎn)擊所綁定的銀行卡，進(jìn)入“卡管理”頁(yè)面，查看卡號(hào)可通過(guò)兩種途徑，一是通過(guò)人臉識(shí)別認(rèn)證，二則是輸入支付密碼。

在長(zhǎng)文中，“老駱駝”推測(cè)，支付寶實(shí)名認(rèn)證的人臉識(shí)別已被黑產(chǎn)分子繞過(guò)，即用圖片處理技術(shù)來(lái)繞過(guò)活體人臉識(shí)別驗(yàn)證。

對(duì)此，支付寶的回應(yīng)中否認(rèn)稱，黑產(chǎn)分子并沒(méi)有突破人臉識(shí)別，能注冊(cè)新號(hào)是通過(guò)其他渠道已掌握的身份信息和短信驗(yàn)證碼，在常用設(shè)備上實(shí)現(xiàn)的。這是由于對(duì)方修改支付密碼時(shí)被支付寶風(fēng)控?cái)r住，查不了銀行卡號(hào)，也沒(méi)法收付款，才注冊(cè)了新號(hào)，但新號(hào)也不能使用原號(hào)里的錢。

據(jù)“老駱駝”的說(shuō)法，黑產(chǎn)分子在美團(tuán)的“生活費(fèi)”業(yè)務(wù)中進(jìn)行了貸款，而其與美團(tuán)聯(lián)系時(shí)詢問(wèn)“為何只是簡(jiǎn)單驗(yàn)證了身份證就放款了”，對(duì)方回應(yīng)稱“這種貸款產(chǎn)品很多其他公司也有的”。

記者從美團(tuán)APP上看到，當(dāng)前開(kāi)通“生活費(fèi)”貸款業(yè)務(wù)，在填寫個(gè)人相關(guān)信息后，需要進(jìn)行人臉識(shí)別認(rèn)證。美團(tuán)客服表示，如需開(kāi)啟該業(yè)務(wù)一直都需要人臉識(shí)別認(rèn)證。黑產(chǎn)分子是否繞過(guò)了人臉識(shí)別？是如何獲得貸款的？美團(tuán)方面回應(yīng)稱，正在了解相關(guān)情況。

“老駱駝”在后續(xù)中透露，其他被點(diǎn)名的平臺(tái)已作出相應(yīng)行動(dòng)，美團(tuán)消除了其貸款記錄，蘇寧金融賠付了相關(guān)損失。

支付寶方面建議，用戶單獨(dú)為SIM卡設(shè)置密碼，能在一定程度上防止黑產(chǎn)分子接收驗(yàn)證碼。

#p#分頁(yè)標(biāo)題#e#

圖/新華社

云閃付已建立立體防控方案，安全專家：丟手機(jī)應(yīng)立即掛失SIM卡

在第一篇文章中，作者如此評(píng)價(jià)銀聯(lián)云閃付：

“和其他支付公司一樣，都存在綁卡驗(yàn)證不嚴(yán)的問(wèn)題。但是，人家態(tài)度是好的啊，凌晨3、4點(diǎn)，客服人員都能用極好的態(tài)度和我們溝通，讓我們放寬心。第二天有專員聯(lián)系我們，告訴我們昨晚報(bào)的損失少報(bào)了，他們查出來(lái)我們還有其他損失，并給了詳細(xì)的指引告訴我們?cè)趺慈ド暾?qǐng)理賠，第二天他們內(nèi)部調(diào)查有新的進(jìn)展也都第一時(shí)間聯(lián)系并告知我們。”

10月10日，繼支付寶后，云閃付方面回復(fù)21世紀(jì)經(jīng)濟(jì)報(bào)道記者稱，云閃付已建立有一套完善的應(yīng)對(duì)防控手機(jī)盜刷黑產(chǎn)措施：覆蓋“前防”TOKEN技術(shù)防真實(shí)卡號(hào)信息泄露，“中控”智能風(fēng)控系統(tǒng)監(jiān)測(cè)與識(shí)別風(fēng)險(xiǎn)賬戶并分級(jí)處置，“后償”如用戶無(wú)過(guò)錯(cuò)則全額賠付。

云閃付方面表示，在前防環(huán)節(jié)，云閃付APP采用了TOKEN技術(shù)，通過(guò)一串特有的數(shù)字標(biāo)記代替了真實(shí)的銀行卡號(hào)，大大降低了欺詐分子盜取用戶真實(shí)銀行卡卡號(hào)進(jìn)行跨平臺(tái)綁卡實(shí)施盜刷的風(fēng)險(xiǎn)，極大保護(hù)了用戶的個(gè)人信息安全。在中控階段，云閃付建立有實(shí)時(shí)監(jiān)測(cè)風(fēng)險(xiǎn)開(kāi)戶操作體系，實(shí)時(shí)觸發(fā)增強(qiáng)驗(yàn)證流程，本案例中取了相應(yīng)的防范措施。

云閃付方面還稱，云閃付建立的“后償”機(jī)制，對(duì)于用戶確定無(wú)過(guò)錯(cuò)的，建立了快速的賠付流程，這也是該用戶在其所寫原文中所說(shuō)，云閃付客服在凌晨三四點(diǎn)第一時(shí)間耐心協(xié)助用戶解決問(wèn)題，第二天就安排了專人主動(dòng)聯(lián)系用戶了解案件詳情的背后原因。

云閃付安全專家也提醒廣大用戶，平時(shí)要注意保管好短信驗(yàn)證碼等個(gè)人信息，如出現(xiàn)手機(jī)遺失、手機(jī)被盜等情況，應(yīng)第一時(shí)間聯(lián)系三大運(yùn)營(yíng)商掛失手機(jī)SIM卡，聯(lián)系銀行凍結(jié)銀行卡，并盡快完成補(bǔ)換卡。

附原文：一部手機(jī)失竊引發(fā)的驚心動(dòng)魄的戰(zhàn)爭(zhēng)

來(lái)源：信息安全老駱駝

9月4日 ——

7:30：正帶著大娃在理發(fā)店理發(fā)，老婆過(guò)來(lái)告訴我，她在小區(qū)門口推著二娃蹲下買水果時(shí)嬰兒車袋子里的手機(jī)被偷了。這時(shí)看到P40 pro上市，一年一度的換機(jī)季又到來(lái)了。說(shuō)是丟失后就用其他手機(jī)撥打，但對(duì)方接通后關(guān)機(jī)。當(dāng)時(shí)不知道我怎么想的，覺(jué)得可能還有機(jī)會(huì)能找回，沒(méi)有未立即掛失手機(jī)卡，設(shè)置了華為找回手機(jī)的上線通知（這個(gè)不果斷的決定，導(dǎo)致了后續(xù)悲劇的發(fā)生）。

8:51：對(duì)方把卡取出來(lái)插在其他手機(jī)開(kāi)機(jī)，后面通過(guò)查詢通話和短信詳單才知道，才一個(gè)小時(shí)多點(diǎn)的時(shí)間，對(duì)方從高新區(qū)直奔成華區(qū)，以周五成都高峰期的交通狀況，算是比較極限了。

9:24：家人發(fā)現(xiàn)被偷手機(jī)可以撥通，但我這邊“查找我的手機(jī)”顯示還未上線，但沒(méi)兩分鐘我的手機(jī)收到提示手機(jī)在成華區(qū)上線了， 瞬間再看找回手機(jī)界面，設(shè)備被解綁了，突然有種不好的感覺(jué)，一般的小偷不會(huì)這么快這么熟練的干這些。

#p#分頁(yè)標(biāo)題#e#立刻致電10000號(hào)掛失手機(jī)卡，但此時(shí)電信服務(wù)密碼已經(jīng)不正確了，通過(guò)驗(yàn)證身份證號(hào)碼加提供上個(gè)月聯(lián)系過(guò)的三個(gè)電話號(hào)碼進(jìn)行了掛失。開(kāi)始采取緊急措施，登錄手機(jī)銀行把可立即贖回的理財(cái)全部贖回，活期余額全部轉(zhuǎn)我賬上，聯(lián)系多家銀行凍結(jié)信用卡，把支付寶、微信上的資金轉(zhuǎn)走，綁定的信用卡全刪掉，考慮到部分儲(chǔ)蓄卡余額為0，且對(duì)方不知道我的卡號(hào)，就沒(méi)去掛失。

9:48：家人說(shuō)電話還可以打通，立馬致電10000號(hào)，詢問(wèn)為什么還可以撥通，回復(fù)說(shuō)卡是正常狀態(tài)，繼續(xù)掛失。

9:55：越想越不對(duì)勁，又致電10000號(hào)，問(wèn)之前掛失失敗的原因是什么。得到答復(fù)， 第一次掛失是成功了的，但后面又被解掛了。

還有這種操作，打電話解除掛失，我是第一次知道，常識(shí)性認(rèn)為我掛失了就應(yīng)該是帶上身份證去營(yíng)業(yè)廳解除掛失，包括后面去報(bào)案，民警聽(tīng)說(shuō)掛失后還可以電話解掛，也是很驚訝。

但明顯對(duì)方是有備而來(lái)，后期分析時(shí)我認(rèn)為連偷手機(jī)的時(shí)間都是事先定好的，對(duì)方把電信的業(yè)務(wù)流程已經(jīng)掌握得很清楚了，這也導(dǎo)致我后期的補(bǔ)救措施變得很被動(dòng)。

根據(jù)云閃付上的綁卡信息，繼續(xù)給銀行電話，挨個(gè)凍結(jié)儲(chǔ)蓄卡，建行etc信用卡因?yàn)橐呀?jīng)解綁了，且第二天要出行上高速，就沒(méi)去管了。

這期間還漏掉一個(gè)老婆10多年前辦的一張建行卡，一張工商銀行卡，又埋雷了。

00:23時(shí)： 發(fā)現(xiàn)支付寶、微信接連被擠下線，重要的是登錄的設(shè)備和丟失的手機(jī)設(shè)備型號(hào)一致！完了，遇上高手了， 華為的鎖屏密碼被解開(kāi)了。

立馬申請(qǐng)凍結(jié)（后面發(fā)現(xiàn)，已經(jīng)晚了，對(duì)方的操作很迅速，此時(shí)支付寶已經(jīng)被更換了手機(jī)號(hào)碼，懷疑是多人在并發(fā)操作的。）、同時(shí)申請(qǐng)凍結(jié)微信，馬上登陸京東，蘇寧、國(guó)美等常用的APP，更換關(guān)聯(lián)手機(jī)號(hào)碼。沒(méi)過(guò)一會(huì)，我的手機(jī)就收到一條京東的短信驗(yàn)證碼，感覺(jué)后面幾個(gè)APP應(yīng)該是保住了（蜜汁自信，最后還是被打臉），喘一口氣休息下。

分析對(duì)方意圖，覺(jué)得所有銀行卡和支付余額里偷不到錢的話可能會(huì)用老婆的信息申請(qǐng)貸款，但同時(shí)想到放款只能是放到本人銀行卡，要想轉(zhuǎn)出去得有銀行卡密碼（長(zhǎng)期以來(lái)自己支付密碼和銀行卡密碼一致，連自己都忘了這兩個(gè)密碼不是一個(gè)東西，后面追查時(shí)才發(fā)現(xiàn)，對(duì)方用了一個(gè)神招，什么銀行卡密碼、支付密碼根本影響不到對(duì)方），應(yīng)該問(wèn)題不大，加上期間緊張于電信手機(jī)卡“掛失”、“解掛”陣地?fù)屨迹钟袕埑啥笺y行社保金融卡漏下了。

后面的一晚上就是循環(huán)的我掛失、對(duì)方解掛，在10000號(hào)上來(lái)來(lái)回回幾十次。至于為什么要堅(jiān)持，因?yàn)橛X(jué)得雖然自己已經(jīng)把重要的APP和銀行賬戶都保住了但還是看不透對(duì)方想干什么，不過(guò)既然對(duì)方這么執(zhí)著的解掛我的手機(jī)卡，肯定是有其迫切的原因。抱著凡是敵人想要的，就堅(jiān)決不能給的信念，一晚上通宵堅(jiān)持下來(lái)了。

這期間我們是很被動(dòng)的，因?yàn)椴恢浪裁磿r(shí)候解掛，只能躺床上不停打被偷的電話，一撥通立馬再打10000號(hào)掛失。

中間多次請(qǐng)求10000號(hào)客服，告知手機(jī)被偷，犯罪分子正在解掛手機(jī)卡用于實(shí)施犯罪，請(qǐng)求他們通知領(lǐng)導(dǎo)獲得審批后凍結(jié)手機(jī)卡等明早去營(yíng)業(yè)廳補(bǔ)卡，#p#分頁(yè)標(biāo)題#e#都被拒絕。

由于一晚上幾十次的業(yè)務(wù)辦理，甚至還被客服說(shuō)“你們自己的私事，不要占用公共資源”，我都不知道對(duì)方是怎么忽悠客服的。詢問(wèn)還有沒(méi)有其他途徑自助辦理掛失，回答無(wú)。只能繼續(xù)堅(jiān)持，最后不知道是不是客服自己都受不了我們了，10000發(fā)短信告訴我可以在網(wǎng)廳自助辦理，登錄電信網(wǎng)廳，嘗試用軟件自動(dòng)掛失，無(wú)奈網(wǎng)廳的一些安全限制導(dǎo)致無(wú)法用軟件實(shí)訓(xùn)自動(dòng)化的掛失辦理，繼續(xù)手動(dòng)操作。

5:00：發(fā)現(xiàn)才注意到網(wǎng)廳有關(guān)閉短信的業(yè)務(wù)，想著如果對(duì)方是高手，我關(guān)閉后也可能對(duì)方會(huì)立馬發(fā)現(xiàn)，但也可能對(duì)方只是流水線的犯罪腳本操作工人，可以賭一賭，反正對(duì)我沒(méi)損失，對(duì)他們還增加開(kāi)通短信的步驟。

（后面查短信詳單時(shí)發(fā)現(xiàn)，正是關(guān)閉短信功能這個(gè)操作，中斷了他們后續(xù)的犯罪行為，不然損失肯定更嚴(yán)重）

熬到9月5日9點(diǎn)：開(kāi)車送老婆蹲守營(yíng)業(yè)廳開(kāi)門，9點(diǎn)8分完成補(bǔ)卡，丈母娘來(lái)電話說(shuō)老婆電話打通了，但接電話的是個(gè)男的，我回答說(shuō)可能是營(yíng)業(yè)廳的營(yíng)業(yè)員接的。幾分鐘后老婆辦卡歸來(lái)，問(wèn)到剛才丈母娘電話什么情況， 她說(shuō)沒(méi)接到電話啊，手機(jī)一直在自己手上。看了下確實(shí)沒(méi)有通話記錄，手機(jī)外撥也是正常的，短信發(fā)送接收也正常。繼續(xù)打10000號(hào)，詢問(wèn)手機(jī)是否被開(kāi)通了呼叫轉(zhuǎn)移，得到確認(rèn)的答復(fù)，驗(yàn)證身份證后關(guān)閉業(yè)務(wù)。關(guān)閉之前從話務(wù)員那邊問(wèn)到被轉(zhuǎn)移的電話號(hào)碼（準(zhǔn)備后續(xù)萬(wàn)一要報(bào)警就提交過(guò)去）。

開(kāi)始收復(fù)陣地，檢查損失。找回支付寶、微信、云閃付，發(fā)現(xiàn)除了支付寶手機(jī)號(hào)被改了，但由于賬戶本身凍結(jié)狀態(tài)，就沒(méi)管了。從云閃付上管理的銀行卡里交易記錄基本沒(méi)什么異常， 只有一張工商銀行卡多了280元（詭異吧），一看是從一個(gè)錢袋寶轉(zhuǎn)過(guò)來(lái)的， 覺(jué)得蹊蹺下了個(gè)APP想用手機(jī)號(hào)碼登錄錢袋寶看下：APP異常，登錄不上，暫時(shí)就沒(méi)管了。

約了朋友一起峨眉山泡溫泉，喝下一瓶樂(lè)虎、一瓶紅牛、一瓶咖啡，出發(fā)去峨眉山，途中繼續(xù)檢查了了下各個(gè)支付賬戶，好像沒(méi)什么異常。下午到了峨眉山，在溫泉池子里休息，恢復(fù)體力。準(zhǔn)備晚上從電信營(yíng)業(yè)廳查下詳單，看對(duì)方都干了什么。

晚上查詳單前老婆登錄支付寶結(jié)果習(xí)慣性輸入手機(jī)號(hào)碼，發(fā)現(xiàn)密碼錯(cuò)誤， 趕緊用手機(jī)找回，突然想起自己支付寶賬號(hào)不是手機(jī)號(hào)，一看才發(fā)現(xiàn)是對(duì)方新建的支付寶賬號(hào)，還綁定了那張被我們遺忘的建行卡，以及一張建行ETC信用卡（辦好etc后就一直在抽屜里吃灰），而且賬單里有充值消費(fèi)記錄，以及被支付寶風(fēng)控阻斷后的充值退回記錄，這時(shí)候才發(fā)現(xiàn)這張?jiān)窘壴谠崎W付上的信用卡被對(duì)方從云閃付解綁了，所以我們才沒(méi)發(fā)現(xiàn)異常。

登陸建行網(wǎng)銀，發(fā)現(xiàn)9月5日4點(diǎn)多時(shí)美團(tuán)轉(zhuǎn)進(jìn)5000元的記錄，跪了，再看etc信用卡有各種買卡、充值 的記錄 幾大千，銀聯(lián)轉(zhuǎn)賬記錄幾大千，最壞的情況還是發(fā)生了。

下載了短信和通話詳單，開(kāi)始分析通話和短信記錄，挨個(gè)查詢，基本上通話的都是各家銀行、銀聯(lián)，短信記錄能查的到源號(hào)碼的也就是 社保局、華為、騰訊、銀聯(lián)、翼支付、微信、支付寶，其他106開(kāi)頭的服務(wù)號(hào)不知道是哪個(gè)機(jī)構(gòu)的，分析沒(méi)什么結(jié)果。

兩人開(kāi)始回憶從頭到尾的細(xì)節(jié)，開(kāi)始逐個(gè)分析，一個(gè)資深滲透測(cè)試工程師的優(yōu)勢(shì)這時(shí)候展示體現(xiàn)出來(lái)了。

對(duì)方第一次上線時(shí)已經(jīng)把卡拔出來(lái)插到其他手機(jī)，從短信發(fā)送記錄上看是給一個(gè)手機(jī)發(fā)了條短信，獲取到本機(jī)手機(jī)號(hào)碼。

然后聯(lián)系電信改了服務(wù)密碼，用手機(jī)號(hào)碼配合短信驗(yàn)證碼改了華為密碼，把原設(shè)備上的賬號(hào)注銷了。

#p#分頁(yè)標(biāo)題#e#然后解鎖了華為鎖屏密碼，進(jìn)入了手機(jī)。

這中間有幾個(gè)說(shuō)不通的地方：

1. 修改電信服務(wù)密碼需要身份證號(hào)碼

2. 有華為密碼從網(wǎng)站上也沒(méi)有解鎖鎖屏密碼的功能。

第一個(gè)我想的是可能從社工庫(kù)查到了身份證號(hào)碼，第二個(gè)根據(jù)百度結(jié)果說(shuō)是華為老版本的emui 賬號(hào)登錄后可以遠(yuǎn)程鎖機(jī)，設(shè)置一個(gè)新密碼，然后用新密碼解鎖屏幕進(jìn)入手機(jī)（這個(gè)操作未實(shí)際驗(yàn)證） 。

然后對(duì)方還修改了支付寶登錄和支付密碼、微信密碼，

中間還修改了支付寶手機(jī)號(hào)碼（為什么這么操作到9月7日晚上的分析才知道），

并且綁定了被我們遺漏的銀行卡至支付平臺(tái)賬號(hào)上進(jìn)行消費(fèi)。

這里又有說(shuō)不通的地方：

1、支付綁卡需要銀行完整的卡號(hào)，如何得到的？一開(kāi)始以為打銀行客服就可以問(wèn)到，后面試了下是不行的；

但當(dāng)我查看支付寶的銀行卡管理功能時(shí)，發(fā)現(xiàn)有支付密碼的話，可以用支付寶自帶的查看卡號(hào)功能獲取銀行卡完整卡號(hào)，太長(zhǎng)時(shí)間沒(méi)用這個(gè)功能了。

但這樣的話就還有個(gè)說(shuō)不通的：

2、支付密碼的重置需要的條件（人臉 、短信+安全問(wèn)題 、短信+銀行卡信息、銀行卡+安全問(wèn)題），沒(méi)照片的情況下，人臉應(yīng)該不行，我們?cè)O(shè)置的安全問(wèn)題基本上不會(huì)被猜到，那只有短信加銀行卡了

（實(shí)際上最后發(fā)現(xiàn)，對(duì)方既可以人臉驗(yàn)證，也可以短信加銀行卡驗(yàn)證，甚至連支付寶都是自己新建了一個(gè)，支付密碼也是自己設(shè)置的）。

然后剩下的步驟就比較清晰了，

通過(guò)綁了卡的美團(tuán)，申請(qǐng)貸款，放款到建行儲(chǔ)蓄卡

#p#分頁(yè)標(biāo)題#e#再通過(guò)支付APP之前的綁卡結(jié)果，通過(guò)購(gòu)買虛擬卡和網(wǎng)絡(luò)充值消費(fèi)掉。

剩下就是蘇寧金融的信用卡消費(fèi)了，還是抱著懷疑的態(tài)度，他們?nèi)绾胃愕轿业男庞每╟vv的，這一點(diǎn)我們是比較肯定的，etc信用卡從申請(qǐng)下來(lái)就沒(méi)離開(kāi)過(guò)抽屜。從銀行客服那邊能獲取到的最多也就是信用卡有效期。

（后面才發(fā)現(xiàn)支付公司現(xiàn)在綁信用卡根本不驗(yàn)證有效日期和CVV，都是簡(jiǎn)單粗暴的身份信息+卡號(hào)+預(yù)留手機(jī)號(hào)碼，甚至有些連預(yù)留手機(jī)號(hào)都不用）。

整理完所有的情況后，就準(zhǔn)備聯(lián)系各個(gè)支付公司，準(zhǔn)備討要說(shuō)法了。一圈下來(lái)后，得出的結(jié)果是：

銀聯(lián)云閃付態(tài)度極好，說(shuō)第二天會(huì)有專人聯(lián)系 ；

財(cái)付通 聯(lián)系不上 ；

美團(tuán)借貸 態(tài)度模糊 ，問(wèn)他為何只是簡(jiǎn)單驗(yàn)證了身份證就放款了，只說(shuō)這種貸款產(chǎn)品很多其他公司也有的，嗯好像很有道理，大家都做的就是正確的。

蘇寧金融未回應(yīng)。

準(zhǔn)備好一些材料，包括通話、短信記錄、銀行賬單，以及其他零散資料，準(zhǔn)備趕回去報(bào)警。畢竟事情發(fā)生在小區(qū)門口，而且團(tuán)伙作案，極有可能還會(huì)再犯，把事情整理下發(fā)到業(yè)主群，讓大家小心防范，提醒大家設(shè)置好sim卡密碼。大家也都被震驚了，但一致對(duì)于怎么獲取身份證號(hào)碼、銀行卡號(hào)表示疑惑。中間手機(jī)陸續(xù)還收到幾條財(cái)付通的支付驗(yàn)證碼，但登陸自己賬號(hào)，沒(méi)發(fā)現(xiàn)有綁卡，留著疑惑后面再處理，反正不給驗(yàn)證碼也付不出去。

思路理清楚了，已經(jīng)凌晨4點(diǎn)多了。一早趕緊往成都趕。路上云閃付主動(dòng)聯(lián)系我們，讓我們報(bào)警后提供報(bào)案回執(zhí)單等一些材料提交過(guò)去，看樣子有可能要賠付。美團(tuán)也打電話過(guò)來(lái)了，想推卸責(zé)任，但還是讓我們提供證據(jù)資料提交給他們。

派出所民警聽(tīng)說(shuō)了我們的遭遇都表示驚奇，說(shuō)之前從沒(méi)遇到過(guò)這種偷手機(jī)的。我應(yīng)該是第一個(gè)來(lái)報(bào)這種案件的 。老婆進(jìn)去做筆錄，耗時(shí)幾個(gè)小時(shí)， 出來(lái)后說(shuō)了里面的情況，警察大叔們都表示“這不可能”、“肯定是你手機(jī)里放銀行卡信息泄露了”、“你是不是放身份證照片在手機(jī)里了”，做完筆錄竟然又要我們?nèi)ゴ蛴°y行流水，跑了幾家建行都是關(guān)門的，只能等第二天再來(lái)取報(bào)案回執(zhí)單了。

晚上回去兩口子在電腦前繼續(xù)回想所有細(xì)節(jié)，把整個(gè)過(guò)程串一遍，必要時(shí)用我的各種APP和賬號(hào)進(jìn)行實(shí)驗(yàn)，驗(yàn)證自己的分析判斷。雖然補(bǔ)了手機(jī)卡， 銀行卡都凍結(jié)了，帶支付功能的軟件都找回來(lái)各種修改密碼了，但總覺(jué)得哪里就是不對(duì)勁。

突然又收到了財(cái)付通的支付驗(yàn)證碼請(qǐng)求，再關(guān)聯(lián)起前面的幾個(gè)可疑點(diǎn)，一下子想通了。 他用其他支付賬號(hào)綁了我們的銀行卡， 包括之前用手機(jī)號(hào)登陸蘇寧時(shí)發(fā)現(xiàn)登陸的是別人新創(chuàng)建的蘇寧賬號(hào)、包括支付寶也是新建的，至于他們新建的的賬號(hào)怎么通過(guò)的人臉實(shí)名認(rèn)證，這個(gè)留在后面討論。

說(shuō)明除了這些APP，肯定還在其他一大堆APP上用我的信息新建了賬號(hào)，綁了銀行卡、通過(guò)了實(shí)名認(rèn)證，并自己設(shè)置了支付密碼。

挨個(gè)APP檢查， 發(fā)現(xiàn)用我們的手機(jī)號(hào)碼新建了支付寶、蘇寧、京東且包含有消費(fèi)記錄，這個(gè)操作隱蔽性強(qiáng)，如果我們沒(méi)發(fā)現(xiàn)的話，解凍了銀行卡，他們還可以用自己創(chuàng)建的支付賬號(hào)進(jìn)行消費(fèi)。

問(wèn)題又來(lái)了，他們用我的手機(jī)號(hào)新建的賬號(hào) 我們可以挨個(gè)試出來(lái)， 但用其他手機(jī)號(hào)新建的賬號(hào)我們猜不到，比如云閃付、財(cái)付通、蘇寧金融 ，這幾個(gè)從銀行流水里查到有轉(zhuǎn)賬消費(fèi)記錄，但我們沒(méi)找到對(duì)應(yīng)的賬號(hào)。#p#分頁(yè)標(biāo)題#e#

再回到上面有疑惑的幾個(gè)問(wèn)題上：

要在支付寶上查看我綁定的銀行卡信息或者綁新的卡，需要支付密碼而支付密碼的重置，需要短信+一張銀行卡信息的驗(yàn)證；

一開(kāi)始整個(gè)環(huán)節(jié)的起點(diǎn)，都需要我的身份證號(hào)碼，起初我判斷是通過(guò)社工庫(kù)，但這一番操作分析下來(lái)，整個(gè)黑產(chǎn)團(tuán)隊(duì)的手法，基本都是利用的各個(gè)銀行、支付公司的正常業(yè)務(wù)流程來(lái)處理的，那么身份證的獲取大概率也不會(huì)采用社工庫(kù)去查詢；

部分支付APP新建賬號(hào)后的實(shí)名認(rèn)證，需要活體人臉驗(yàn)證，這個(gè)如果可以從手機(jī)自拍照或者華為云里之前存過(guò)的照片，用技術(shù)處理手段處理照片繞過(guò)人臉識(shí)別（參考2020年的新聞《利用照片偽造動(dòng)畫(huà)頭像“騙過(guò)”支付寶人臉識(shí)別，一犯罪團(tuán)伙薅支付寶“羊毛”超4萬(wàn)元》）

總結(jié)下來(lái)就是，需要有一個(gè)地方，通過(guò)手機(jī)號(hào)碼和接收到的短信驗(yàn)證碼， 能獲取到姓名、身份證號(hào)碼、以及一張銀行卡的卡號(hào)。

感覺(jué)這幾天自己都有點(diǎn)病態(tài)了，遇到這種盜刷的倒霉事，不憤怒、不沮喪、不慌亂，而是出奇的亢奮，幾天下來(lái)沒(méi)睡幾個(gè)小時(shí)，不停的研究和分析，快把對(duì)方的運(yùn)作模式研究出來(lái)了，把IT男追根刨底的特質(zhì)發(fā)揮的淋漓盡致。

來(lái)，繼續(xù)冷靜分析，手頭能跟犯罪分子行為步驟關(guān)聯(lián)最緊密的就是電信營(yíng)業(yè)廳獲取的短信和電話記錄了。翻出短信記錄，除了第一條犯罪分子發(fā)給自己手機(jī)號(hào)的記錄，緊接著就是收到兩條12333社保局的短信。最開(kāi)始兩天都沒(méi)注意到，以為是老婆公司給繳納的社保的通知短信，但再仔細(xì)分析就發(fā)現(xiàn)不對(duì)勁了。

一是短信發(fā)送時(shí)間可疑，非工作時(shí)間內(nèi)發(fā)送社保繳納通知是不正常的，連發(fā)兩條也是不正常的，那突破點(diǎn)就是它了，社保系統(tǒng)里肯定是有身份證信息。

打開(kāi)四川省人社廳的網(wǎng)站，看到一個(gè)四川人社的APP下載二維碼，下載打開(kāi)APP的瞬間就明白了， “快捷登錄”、“短信驗(yàn)證碼”、“電子社?？ā?這幾個(gè)關(guān)鍵字明晃晃的扎我眼。

發(fā)送短信驗(yàn)證碼，登錄進(jìn)去。點(diǎn)開(kāi) “電子社保卡”，發(fā)現(xiàn)需要社保密碼，繼續(xù)忘記社保密碼，短信驗(yàn)證碼重置社保密碼，這一切剛好是兩條12333的短信驗(yàn)證碼，隨后展示在眼前的內(nèi)容，直接解釋了上面三條疑惑。

身份證信息、證件照片、社保金融卡的銀行卡信息，有了這些東西，干啥都一路暢通了。

再返回去之前的支付寶綁卡流程，#p#分頁(yè)標(biāo)題#e#“無(wú)需手動(dòng)輸入卡號(hào)，快速綁卡”，幾年沒(méi)用綁卡功能，現(xiàn)在都這么高端了。

選一家銀行點(diǎn)進(jìn)去后，該銀行下我的所有銀行卡列表直接出來(lái)了，選上信用卡，綁卡。CVV 、有效期 這些都是浮云，人家就一個(gè)簡(jiǎn)單的短信驗(yàn)證碼驗(yàn)證，這樣的話通過(guò)支付寶查看你所有銀行卡的卡號(hào)就簡(jiǎn)單了。

最后我們?cè)賮?lái)總結(jié)分析一波，這條黑產(chǎn)鏈的全貌如下：

1、一線扒手特定時(shí)間選定目標(biāo)：年輕人、移動(dòng)支付頻率高，在對(duì)方注意力分散的情況下出手，運(yùn)營(yíng)商營(yíng)業(yè)廳下班后，失主沒(méi)法當(dāng)晚立即補(bǔ)卡，給團(tuán)隊(duì)預(yù)留了一晚上的作案時(shí)間；

2、拿到手機(jī)后迅速送到團(tuán)隊(duì)窩點(diǎn)，迅速完成身份證信息獲取、電信服務(wù)密碼、手機(jī)廠商服務(wù)登錄密碼修改，一下子讓受害者陷入被動(dòng)；

3、獲取所有銀行卡信息，使用技術(shù)手段繞過(guò)活體人臉識(shí)別驗(yàn)證，在各個(gè)平臺(tái)上創(chuàng)建新賬號(hào)，綁定受害者銀行卡。

4、選好幾家風(fēng)控不嚴(yán)的支付公司，開(kāi)始申請(qǐng)?jiān)诰€貸款，貸款到賬后通過(guò)虛擬卡充值、購(gòu)買虛擬卡以及銀聯(lián)轉(zhuǎn)賬，將錢轉(zhuǎn)走。

5、保留新建的支付賬號(hào)權(quán)限， 如果未被發(fā)現(xiàn)，后期還可以繼續(xù)竊取資金。

在這一系列過(guò)程中，對(duì)方有幾點(diǎn)還是讓我比較服的：

1、 全程用的都是正常的業(yè)務(wù)操作，只是把各個(gè)機(jī)構(gòu)的“弱驗(yàn)證”的相關(guān)業(yè)務(wù)鏈接起來(lái)，形成巨大的破壞；

2、 應(yīng)該是使用了技術(shù)手段通過(guò)的人臉驗(yàn)證，用圖片處理技術(shù)來(lái)繞過(guò)活體人臉識(shí)別驗(yàn)證；

3、 團(tuán)隊(duì)分工協(xié)作能力太強(qiáng)，在處理過(guò)程中我感覺(jué)自己已經(jīng)用了最快的速度，但總還是晚一步；

4、 注重隱蔽，留好后路，包括刪掉我云閃付上的一些卡來(lái)防止我查明細(xì)，通過(guò)新建賬號(hào)的方式，如果我沒(méi)發(fā)現(xiàn)，貿(mào)然去解凍銀行卡，后續(xù)還有第二波的攻擊；包括趕在我補(bǔ)卡后改服務(wù)密碼前，設(shè)置了呼叫轉(zhuǎn)移。

分析完犯罪分子，再來(lái)看下整個(gè)過(guò)程中參與的機(jī)構(gòu)都有什么“問(wèn)題”，實(shí)際上這個(gè)環(huán)節(jié)里的每一個(gè)點(diǎn)，放在對(duì)應(yīng)的業(yè)務(wù)節(jié)點(diǎn)里都不是什么大問(wèn)題，但手機(jī)丟失后，把所有這些點(diǎn)串起來(lái)，問(wèn)題就大了：

1、四川電信：我認(rèn)為整個(gè)過(guò)程責(zé)任最大的就是它了，這掛失、解掛的風(fēng)騷業(yè)務(wù)規(guī)則簡(jiǎn)直讓我無(wú)語(yǔ)，既然都掛失了，不應(yīng)該考慮到手機(jī)已經(jīng)不在失主身上了，解掛不應(yīng)該有個(gè)時(shí)間限制或者要求營(yíng)業(yè)廳辦理么？就算前面的過(guò)錯(cuò)無(wú)視了，同一個(gè)手機(jī)號(hào)碼在深夜來(lái)來(lái)回回掛失解掛幾十次，包括機(jī)主幾次在電話中告知話務(wù)員自己正在遭受銀行卡盜刷犯罪，要求停止解掛行為，話務(wù)員還是拿著業(yè)務(wù)話術(shù)來(lái)敷衍客戶“對(duì)不起，我們的掛失解掛有固定的業(yè)務(wù)流程，只要對(duì)方能提供服務(wù)密碼，正常就是可以解掛的”。我們?nèi)胰司瓦@樣抱著電話陪犯罪分子熬了一夜，到最后還是造成了經(jīng)濟(jì)損失。對(duì)于四川電信，后續(xù)該投訴投訴。

2、四川人社：它所起到的作用，大家也都看得懂。兩條短信驗(yàn)證碼，關(guān)鍵的資料全泄露出去了，但我不好說(shuō)他有什么罪，畢竟他們本身也不是金融機(jī)構(gòu)， 對(duì)個(gè)人信息的保護(hù)要做成什么樣也沒(méi)個(gè)標(biāo)準(zhǔn)。

但這個(gè)事情沒(méi)那么簡(jiǎn)單，把四川人社換成XX人社或者四川XX，也可能是一樣的結(jié)果，這個(gè)黑產(chǎn)鏈設(shè)計(jì)的時(shí)候身份證號(hào)碼的獲取途徑可以是多處的，至少我隨便在網(wǎng)上下載幾個(gè)地方社保APP，都能找到和四川人社一樣登錄和密碼找回使用手機(jī)短信驗(yàn)證的。#p#分頁(yè)標(biāo)題#e#

3. 華為：其實(shí)把華為換成小米，結(jié)果也是一樣。我只能說(shuō)密碼找回這個(gè)業(yè)務(wù)的驗(yàn)證太簡(jiǎn)單了。

還有就是網(wǎng)上說(shuō)的用emui 5.0的手機(jī)，可以遠(yuǎn)程解鎖屏幕鎖屏密碼，這個(gè)我沒(méi)驗(yàn)證過(guò)， 但從我支付寶被擠下線時(shí)提示對(duì)方使用的手機(jī)型號(hào)來(lái)判斷，大概率是可以的。

4. 支付寶：先不說(shuō)為啥同一個(gè)身份信息，可以注冊(cè)兩個(gè)賬號(hào)，你的快捷綁卡，是加快了綁卡的便捷性， 但考慮過(guò)安全性么？當(dāng)然，支付寶的風(fēng)控是強(qiáng)，確實(shí)識(shí)別到了異常交易，也追回了資金。

但實(shí)名認(rèn)證的人臉識(shí)別被繞過(guò)，也是事實(shí)。

5. 美團(tuán)：你要發(fā)展業(yè)務(wù)，放寬貸款限制，這我不關(guān)心，但你能否做好該有的貸款審批風(fēng)險(xiǎn)控制，凌晨4點(diǎn)的貸款行為，這正常么？

6. 蘇寧金融：所有參與這個(gè)過(guò)程的支付機(jī)構(gòu)中態(tài)度最惡劣的一家，出現(xiàn)案件，接到用戶報(bào)案后第一時(shí)間想到的是推卸責(zé)任?！皥?bào)案了么？如果警方有需要，我們會(huì)做好配合工作！哦你的經(jīng)濟(jì)損失啊，那只能你自己承擔(dān)了”，中間來(lái)過(guò)兩次電話，基本腔調(diào)就是這樣。同樣是支付公司， 支付寶的風(fēng)控能識(shí)別異常盜刷，蘇寧金融就一點(diǎn)察覺(jué)都沒(méi)有，一個(gè)新注冊(cè)的賬號(hào)，凌晨三四點(diǎn)綁卡，然后購(gòu)買各種虛擬卡、充值話費(fèi)這些不容易被追查的商品，這不算高風(fēng)險(xiǎn)異常行為么？

7. 銀聯(lián)云閃付: 和其他支付公司一樣， 都存在綁卡驗(yàn)證不嚴(yán)的問(wèn)題。但是，人家態(tài)度是好的啊，凌晨3、4點(diǎn)，客服人員都能用極好的態(tài)度和我們溝通，讓我們放寬心。第二天有專員聯(lián)系我們，告訴我們昨晚報(bào)的損失少報(bào)了，他們查出來(lái)我們還有其他損失，并給了詳細(xì)的指引告訴我們?cè)趺慈ド暾?qǐng)理賠，第二天他們內(nèi)部調(diào)查有新的進(jìn)展也都第一時(shí)間聯(lián)系并告知我們。

8. 財(cái)付通：人工客服太難找了，不過(guò)風(fēng)控也還是有效的，這兩天在沒(méi)有通知我們的情況下，陸陸續(xù)續(xù)追回了幾筆交易金額。

9. 京東：不想說(shuō)了，反正就是“交易已經(jīng)發(fā)生了，損失你自己承擔(dān)”，但還好就一筆100元的游戲充值卡。

10. 百度：對(duì)方剛好操作到它的時(shí)候短信功能已經(jīng)被我關(guān)了，對(duì)方也只是綁定了銀行卡，還沒(méi)來(lái)得及消費(fèi)，就不用找它理論了。

多數(shù)支付機(jī)構(gòu)基本都有一個(gè)現(xiàn)象：

允許用不同的手機(jī)號(hào)碼注冊(cè)相同實(shí)名認(rèn)證的支付賬號(hào)，

允許兩個(gè)賬號(hào)綁定相同的銀行卡，

實(shí)名認(rèn)證有人臉活體識(shí)別技術(shù)的都被繞過(guò)了。

支付機(jī)構(gòu)都在推“快捷綁卡”，是快捷了，點(diǎn)幾下鼠標(biāo)就綁卡了。除了短信驗(yàn)證碼，支付寶的快捷綁卡還驗(yàn)證了下支付密碼，但好像意義也不大，比如我這種情況，支付賬號(hào)都是別人用我的信息新建的，支付密碼也是他設(shè)置的。#p#分頁(yè)標(biāo)題#e#

說(shuō)完他們，最后再來(lái)說(shuō)說(shuō)咱們吧。

通過(guò)這幾天的經(jīng)歷，不管中間情節(jié)有多少起伏，我作為一個(gè)有10多年信息安全從業(yè)經(jīng)驗(yàn)的老駱駝，都要被折騰成這樣，我實(shí)在是不想讓大家有跟我相同的經(jīng)歷。提個(gè)我認(rèn)為我們個(gè)人能做的最簡(jiǎn)單最有效的防護(hù)措施：

給自己的手機(jī)卡上個(gè)密碼，給手機(jī)設(shè)置個(gè)屏幕鎖。這樣手機(jī)丟了也不用擔(dān)心別人拔下卡插其他手機(jī)里繼續(xù)使用。

以華為手機(jī)為例：設(shè)置-安全-更多安全設(shè)置-加密和憑據(jù)-設(shè)置卡鎖 ， 選定手機(jī)卡，啟用密碼（此時(shí)使用的為默認(rèn)密碼1234或者0000），再選擇修改密碼，輸入原密碼1234，再輸入兩次新密碼，完成sim卡的密碼設(shè)置。

同時(shí)，如果有遇到和我一樣情況的，除了凍結(jié)所有銀行卡后，還需要把銀行卡的預(yù)留手機(jī)號(hào)碼全換掉；

同時(shí)可以通過(guò)登陸網(wǎng)銀或者手機(jī)銀行， 用快捷支付管理功能，查看都綁了那些支付公司，然后可以嘗試用自己的手機(jī)號(hào)碼去登陸那些APP，有可能還會(huì)有意外收獲，萬(wàn)一支付公司不給理賠，還能自己追回一點(diǎn)。

比如我就在對(duì)方注冊(cè)的蘇寧賬號(hào)上找到還沒(méi)來(lái)得及消費(fèi)的購(gòu)物卡。

然后這個(gè)事情是不是就這樣結(jié)束了？也不一定哈，9月5日我們補(bǔ)辦完手機(jī)卡時(shí)我就和我老婆說(shuō)了，后面這段時(shí)間內(nèi)要小心陌生的電話和短信、微信。對(duì)方快吃進(jìn)嘴的肉被硬扯下去一大塊，手里又有你的一些信息，肯定不會(huì)甘心的，要小心后續(xù)的網(wǎng)絡(luò)釣魚(yú)、和電話詐騙。這兩天她手機(jī)就開(kāi)始收到有可疑的短信了，什么套路也懶得去猜了，反正不理會(huì)就是了。

我所經(jīng)歷的這個(gè)案件，其實(shí)和前兩年新聞上報(bào)道過(guò)的錢包丟失，對(duì)方用偷到的身份證去營(yíng)業(yè)廳補(bǔ)了卡，然后導(dǎo)致銀行賬戶損失其實(shí)是差不多的，目標(biāo)都是手機(jī)卡。移動(dòng)互聯(lián)網(wǎng)的發(fā)展給我們的生活帶來(lái)了巨大的改變，手機(jī)的地位也越來(lái)越高，希望大家吸取我的這次經(jīng)驗(yàn)教訓(xùn)，提前做好防范，出事別學(xué)我，第一時(shí)間掛失手機(jī)卡、所有銀行卡。

后續(xù)進(jìn)展

9月9日——

在經(jīng)歷了與一個(gè)專業(yè)黑產(chǎn)團(tuán)伙的幾天對(duì)抗之后，新建了這個(gè)微信公眾號(hào)，根據(jù)自己搜集整理分析的結(jié)果發(fā)表了《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》一文，這篇文章發(fā)表后引起的轟動(dòng)效果，完全超出了我的預(yù)期。不想原本只是寫給小區(qū)業(yè)主群的案件記錄分析結(jié)果一夜間成了網(wǎng)絡(luò)熱文，也答應(yīng)過(guò)網(wǎng)友，事件有了新的進(jìn)展就匯報(bào)給大家。

在今天（9月11日）下午，事件中涉及的幾家支付公司都積極聯(lián)系到我， 美團(tuán)的貸款記錄消除了，蘇寧金融把我們損失的幾千都賠付了。#p#分頁(yè)標(biāo)題#e#由于美團(tuán)貸款的記錄消除，實(shí)際上還導(dǎo)致蘇寧金融賠付金融比他造成的損失多了300元，已經(jīng)聯(lián)系蘇寧金融進(jìn)行退款。銀聯(lián)云閃付的賠付也已打電話通知取消。對(duì)于賠付金額，該還我們的一分都不能少，但多的我們也一分不多要。

發(fā)上一篇文章的時(shí)候，黑產(chǎn)團(tuán)伙的很多操作步驟流程都是我根據(jù)自己所能搜集到的信息推論判斷出來(lái)的，文章的發(fā)表也引來(lái)了各方注意，提出了個(gè)別文章中推論出錯(cuò)的地方。

例如人臉識(shí)別的繞過(guò)，支付寶在進(jìn)行業(yè)務(wù)設(shè)計(jì)時(shí)，對(duì)在原手機(jī)上創(chuàng)建并登陸的子賬號(hào)，在實(shí)名認(rèn)證時(shí)， 匹配身份信息的各項(xiàng)要素通過(guò)風(fēng)控規(guī)則校驗(yàn)與主賬號(hào)一致的情況下是不需要人臉驗(yàn)證的，這一點(diǎn)我們辦公室的多位工程師今天下午在對(duì)我的被盜刷事件進(jìn)行技術(shù)復(fù)盤時(shí)也驗(yàn)證確實(shí)是如此，人臉識(shí)別的繞過(guò)確實(shí)錯(cuò)怪他們了，這也解釋得通為何犯罪分子需要解鎖偷到的手機(jī)進(jìn)行支付寶的登錄，推測(cè)是為了不觸發(fā)支付寶的風(fēng)控規(guī)則。

至于四川電信，今天也主動(dòng)聯(lián)系到我老婆，對(duì)那晚的事件進(jìn)行道歉，也解釋了說(shuō)對(duì)方當(dāng)時(shí)跟他們的客服說(shuō)是男女朋友鬧矛盾，只能說(shuō)犯罪分子很狡猾，但對(duì)于四川電信的遠(yuǎn)程掛失和解掛的業(yè)務(wù)流程設(shè)計(jì)，站在安全的角度上考慮，我還是不能認(rèn)可。中間有個(gè)小插曲，我為了調(diào)查案發(fā)時(shí)我的短信詳單中一條未知的短信記錄，再次撥打10000號(hào)說(shuō)明了我的情況并根據(jù)短信源號(hào)碼要求查詢號(hào)碼的歸屬公司，客服拒絕了我。雖然未能查成，但說(shuō)實(shí)話我反而是高興的， 至少說(shuō)明對(duì)客戶信息保密的業(yè)務(wù)原則還是有效的。

再說(shuō)下盜取手機(jī)進(jìn)而實(shí)現(xiàn)銀行卡盜刷這個(gè)案件，自從文章發(fā)布后，也有幾個(gè)網(wǎng)友在微信公眾號(hào)上留言，說(shuō)自己經(jīng)歷過(guò)一模一樣的場(chǎng)景， 只是受損金額都比較大，最嚴(yán)重的一位有68萬(wàn)的線上貸款，目前還在索賠中。

在網(wǎng)上找類似案例的時(shí)候，發(fā)現(xiàn)2019年9月有一篇新聞——《憑SIM卡登陸各軟件！上海警方披露最新型盜刷手法》，大家有興趣可以搜一下，看新聞介紹的犯罪手法，基本上和我遇到的這個(gè)案件是一致的，只是獲取身份信息的途徑不一樣。

前面也提到，犯罪分子精心設(shè)計(jì)的這么一套犯罪腳本，在身份信息獲取這種比較容易的環(huán)節(jié)上，一定是會(huì)有備用方案的， 目前據(jù)我所知的在獲得短信權(quán)限的情況下比較容易獲取的如各類連鎖酒店APP（如華住、錦江）、商旅訂票類（如去哪兒），這些包含身份證信息的APP和網(wǎng)站，對(duì)于身份證號(hào)碼信息的泄露風(fēng)險(xiǎn)并不是說(shuō)不知道，只是在業(yè)務(wù)的“用戶體驗(yàn)”面前，安全已經(jīng)不算個(gè)問(wèn)題了，畢竟我這種案件的數(shù)量還是不多。以去哪兒為例，在常用旅客列表中，對(duì)身份證信息進(jìn)行了屏蔽顯示，但點(diǎn)擊進(jìn)入信息編輯界面時(shí)就明文展示了：

對(duì)敏感數(shù)據(jù)加個(gè)保護(hù)的實(shí)現(xiàn)技術(shù)有難度么？再看看攜程的處理方式：

我不知道在編輯界面明文展示身份證號(hào)碼能提升多少百分比的用戶使用體驗(yàn)友好度，但安全性的差別就是0%和100%。

今天在朋友圈看到一篇文章《央行科技司司長(zhǎng)李偉：金融科技發(fā)展應(yīng)重視個(gè)人信息保護(hù)》，我的案子剛好與文章里提到的部分內(nèi)容應(yīng)景。李司長(zhǎng)在9月8日的發(fā)布會(huì)上提了三塊內(nèi)容：

一是重視個(gè)人信息保護(hù)，善用數(shù)據(jù)要素價(jià)值。

二是重視數(shù)字鴻溝問(wèn)題，踐行數(shù)字普惠金融。

三是重視監(jiān)管科技應(yīng)用，增強(qiáng)數(shù)字化監(jiān)管能力。#p#分頁(yè)標(biāo)題#e#

其中第三部分提到：部分機(jī)構(gòu)在利用技術(shù)創(chuàng)新業(yè)務(wù)模式、提升服務(wù)效率、改善用戶體驗(yàn)的同時(shí)，一定程度上簡(jiǎn)化了業(yè)務(wù)流程、削弱了風(fēng)控強(qiáng)度、掩蓋了業(yè)務(wù)本質(zhì)，這給金融監(jiān)管提出新挑戰(zhàn)。

回看現(xiàn)在各大支付APP熱推的”快捷綁卡”業(yè)務(wù)，相比之前的銀行卡綁定流程，是簡(jiǎn)單快捷了一些，但金融業(yè)務(wù)，是越簡(jiǎn)單快捷越好么？昨天我的文章火了后，很多鄰居說(shuō)忘記了自己在哪家銀行開(kāi)過(guò)銀行卡，想找出來(lái)注銷掉，問(wèn)有什么辦法。

最后再談下我上篇文章中提到的讓大家設(shè)置手機(jī)SIM卡密碼，主要有幾點(diǎn)考慮：

手機(jī)鎖屏狀態(tài)下對(duì)方無(wú)法使用短信功能；

如果更換手機(jī)卡至新手機(jī)則需要輸入SIM卡密碼；

要解鎖SIM，需要從運(yùn)營(yíng)商獲取PUK碼；

要獲取PUK碼，需要提供身份信息進(jìn)行驗(yàn)證；

未解鎖手機(jī)的情況下加上SIM卡加鎖，對(duì)方無(wú)法知道你的手機(jī)號(hào)碼，這樣斷了獲取身份信息的路。

當(dāng)然，這樣一個(gè)安全閉環(huán)里也還是有些風(fēng)險(xiǎn)，例如利用GSM中間人攻擊獲取到號(hào)碼，但這類一般人遇不到，對(duì)普通民眾來(lái)說(shuō)可以不用考慮。第一時(shí)間掛失手機(jī)卡，這一點(diǎn)還是必要的行動(dòng)，也希望運(yùn)營(yíng)商在我這個(gè)案件之后，會(huì)作出相應(yīng)的改變。

俗話說(shuō)“靠人人跑，靠樹(shù)樹(shù)倒”，還是靠自己靠譜些，按現(xiàn)在移動(dòng)金融業(yè)務(wù)的發(fā)展趨勢(shì)，將來(lái)會(huì)面臨更加嚴(yán)峻的安全挑戰(zhàn)；而且金融業(yè)務(wù)用到的部分關(guān)鍵要素信息，如手機(jī)號(hào)碼、身份證號(hào)碼在常規(guī)移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)中的交叉使用，數(shù)據(jù)泄露的風(fēng)險(xiǎn)將越來(lái)越大。雖然部分金融機(jī)構(gòu)都給出了被盜刷后的賠付承諾，案件發(fā)生在自己身上后你能否符合賠付的標(biāo)準(zhǔn)條件不好說(shuō)，耗費(fèi)大量時(shí)間精力在這件事上面，也是很心累的。

此外，上篇文章中我按我自己手機(jī)的操作流程步驟作為SIM卡設(shè)置密碼的例子，后來(lái)發(fā)現(xiàn)很多網(wǎng)友可能由于手機(jī)品牌型號(hào)差異導(dǎo)致操作失誤而鎖住SIM卡，對(duì)此給大家造成的不便給大家道個(gè)歉，考慮不周啊。 大家還是在網(wǎng)上搜索自己的手機(jī)對(duì)應(yīng)品牌的SIM卡密碼設(shè)置然后按照詳細(xì)教程一步一步操作，如遇到SIM卡密碼驗(yàn)證失敗后出現(xiàn)PUK碼輸入要求，可聯(lián)系運(yùn)營(yíng)商獲取PUK碼。請(qǐng)一定小心謹(jǐn)慎，必要時(shí)可到運(yùn)營(yíng)商營(yíng)業(yè)廳設(shè)置。

自己長(zhǎng)期從事金融行業(yè)信息系統(tǒng)的安全漏洞檢測(cè)，也曾多次被自己發(fā)現(xiàn)的可直接影響賬戶資金安全的漏洞而震驚，但經(jīng)歷了這次盜刷事件之后我才發(fā)現(xiàn)，相比黑客利用各種高深的技術(shù)漏洞攻擊金融信息系統(tǒng)，更可怕的是這種把每一項(xiàng)看似沒(méi)問(wèn)題的問(wèn)題組合而成的犯罪，讓人防不勝防。也希望今后在工作之余，能有時(shí)間把自己在金融信息安全行業(yè)的專業(yè)知識(shí)，用大家都能看得懂的方式寫出來(lái)，提高大家的安全防范意識(shí)。